Cobit Caso Practico

8/10/2019 Cobit Caso Practico

http://slidepdf.com/reader/full/cobit-caso-practico 1/60

COBIT 5Protección de Datos

Jorge Arturo Pérez Morales, CISM

ICA Fluor, México



PROTECCIÓN DE DATOS PERSONALES

A TRAVÉS DE COBIT 5

Agenda:

• Contexto de Protección de DatosPersonales (PDP)

• Origen del requerimiento

• Aplicando COBIT 5 en PDP• Caso práctico



CONTEXTO DE PROTECCIÓN DE DATOS

PERSONALES (PDP)

• Derechos Humanos

• Principios de PDP según OCDE

• Marco de Privacidad de APEC

• Visión holística de PDP



CONTEXTO

• Declaración Universal de Derechos

Humanos*• el artículo 12: “ Nadie será objeto de

injerencias arbitrarias en su vida privada,

su familia, su domicilio o su correspon-

dencia, ni de ataques a su honra o a su

reputación. Toda persona tiene derecho a

la protección de la ley contra tales

injerencias o ataques”

* Adoptada

y proclamada

por

la

Resolución

de

la

Asamblea

General

el

10

de

diciembre

de 1948.



CONTEXTO

• En las últ imas décadas del siglo pasado tomómayor importancia la necesidad de ampliar el

alcance conceptual del tradicional derecho a lapersonalidad desde los primeros acuerdos enmateria de Derechos Humanos que sedesarrol laron en Europa, en la ONU* y en laOCDE**

• En estas circunstancias nace el derecho a laintimidad informática que se ubica entre losderechos fundamentales de las personas y lasprovisiones legales referentes a la protección de

datos personales

*

Organización de

las

Naciones

Unidas

** Organización para la Cooperación y el Desarrollo Económicos



CONTEXTO / DERECHOS HUMANOS

• Las diferentes leyes que se han legislado en elmundo podrían agruparse en dos categorías

fundamentalmente:• El modelo europeo que busca proteger la

información y su propiedad con el propósito deconservar la honorabilidad de la persona aúndespués de su muerte. Este modelo tiene su baseen los derechos humanos.

• El modelo estadounidense busca proteger lainformación de las personas desde la perspectivadel derecho a la privacidad.



CONTEXTO / PROTECCIÓN DE DATOS

PERSONALES

• En 1981 el Consejo de Europa emite el Convenio108 para la protección de las personas conrespecto al tratamiento automatizado de datos decarácter personal.

• El propósito es garantizar en el territorio de los quefirman, que a cualquier persona le sean respetadossus derechos y l ibertades fundamentales,concretamente su derecho a la vida privada



CONTEXTO / PRINCIPIOS DE PDP

• Directrices de privacidad de la OCDE

• La OCDE publica en septiembre de 1980las directrices sobre protección de laprivacidad y flujos transfronterizos dedatos personales

• Chile, España, México



1. Principio de limitación de obtención delos datos

2. Principio de calidad de los datos3. Principio de especificación del propósito

4. Principio de limitación de uso

5. Principio de salvaguardia de la seguridad6. Principio de transparencia

7. Principio de participación individual

8. Principio de responsabilidad

PRINCIPIOS PROPUESTOS POR LA OCDE



• APEC (Cooperación Económica Asia-Pacífico)

• Perú, Chile, México

MARCO DE PRIVACIDAD DEL FORO DE

COOPERACIÓN APEC



MARCO DE PRIVACIDAD DEL FORO DE

COOPERACIÓN APEC

• El Marco de privacidad está pensado paraaplicarse a la información sobre personas

naturales, no legales.• Aplica a información personal, que es

información que puede usarse para

identificar a un individuo.• Aplica a personas u organizaciones en lossectores público y privado que controlanla recolección, posesión, procesamiento,

uso, transferencia o revelación de datospersonales.



VISIÓN HOLÍSTICA DE PDP

Fuente: Elaboración propia




• No todas las organizaciones tienenun sistema de Gestión de Seguridadde la Información

• Porqué? – No hay obligaciones estrictas

– No han tenido impactos

– No han sido multadas

– No han sufrido ataques




• No todas las empresas estáncumpliendo con una Ley de PDP

• Porqué? – No saben como hacerlo

– No les interesa

– No tienen un Sistema de Gobernabilidad

– No tienen un Sistema de Gestión de

Seguridad de la Información

– Cumplen parcialmente, con lo mínimo




• No todas las personas saben comoproteger sus DP

• Porqué? – Desconocimiento de sus derechos

– No han sufrido algún ataque

– No hay una obligación legal

– No saben como hacerlo

– No tienen el conocimiento técnico



ALCANCE

Ciclo de vida de Datos Personales

• Origen de DP• Recolección de DP

• Proceso de DP

• Almacenamiento de DP• Destrucción, borrado de DP



VISIÓN DEL FORO ECONÓMICO MUNDIAL




Fuente: Reporte del World

Economic Forum,

Rethinking

Personal Data: A new lens

for Strengthening trust






ORIGEN DEL REQUERIMIENTO DE PDP

• Países con legislación para PDP

• Definiciones esenciales• Origen de los datos personales

• Nuevos riesgos, nuevosrequerimientos



PAÍSES CON LEGISLACIÓN PARA PDP

Fuente: Sitio en internet de National Comprehensive Data Protection /Privacy Laws and Bills 2014

En EU existe Privacy Act of 1974, aplica para las Agencias Federales



PAÍSES CON LEGISLACIÓN PARA PDP



DEFINICIONES ESENCIALES

• Datos Personalesse refiere a cualquier dato o información

relacionada con una persona identi ficadao identif icable

• Consentimiento*: Manifestación de lavoluntad del titular de los datos mediantela cual se efectúa el tratamiento de losmismos

* Art.

3,

fracción

IV

de

Ley

mexicana

de Protección de Datos Personales




• Datos Personales Sensibles*los que afecten a la esfera más íntima de su titular,

o cuya utilización indebida pueda dar origen adiscriminación o conlleve un riesgo grave paraéste.

• En particular, se consideran sensibles aquellos quepuedan revelar aspectos como origen racial o

étnico, estado de salud presente y futuro,información genética, creencias religiosas,filosóficas y morales, afil iación sindical, opinionespolíticas, preferencia sexual

* Art. 3, fracción VI de Ley mexicana de Protección de Datos Personales




• Tratamiento*: La obtención, uso, divulgación oalmacenamiento de datos personales, por cualquier

medio. El uso abarca cualquier acción de acceso,manejo, aprovechamiento, transferencia odisposición de datos personales.

• Sujeto obl igado: toda entidad que posee datospersonales para su tratamiento

• Titular **: la persona física a quien corresponden losdatos personales

*

Art. 3,

fracción

XVIII

de

Ley

mexicana

de

Protección

de

Datos

Personales

** idem, fracción XVII



ORIGEN DE LOS DATOS PERSONALES

• Los datos personales son empleados enmuchos aspectos de las operaciones en

toda organización• Para cada persona, su origen de los Datos

Personales inicia cuando nace: Acta deNacimiento, registros de hospital (tipo desangre, ADN)

• Entre la niñez y la vida adulta se generanmuchos datos personales…



NUEVOS RIESGOS, NUEVOS REQUERIMIENTOS

• Fuentes dispersas concontroles físicos

• No podían ser accesadosen línea

• La versión en papelquizá ofrecía mayorseguridad

• Con la digitalización, elcómputo en la nube y laglobalización; los

riesgos aumentaron• Nuevos mecanismos yestrategias se requierenpara garantizar laseguridad



ENFOQUE DEL REQUERIMIENTO

DatosPersonales

Información

Protección

de

DatosPersonales

Seguridad

de

la

Información

• Se requiere un framework amplio y flexible parapoder cumplir con todos los requerimientos queindica una Ley de protección de datos personales



APLICANDO COBIT 5

EN PROTECCIÓN DE DATOS PERSONALES

• Estructura – Principios

– Catalizadores

– Cascada de Objetivos



COBIT 5, PRINCIPIOS



COBIT 5, PRINCIPIOS

Principio 1

Satisfacer las necesidades de laspartes interesadas• Las organizaciones se conciben para crear

valor para sus stakeholders, manteniendo

un balance entre la obtención de losbeneficios y la optimización del riesgo yempleo de todos los recursos disponibles



COBIT 5, PRINCIPIOS

Principio 2

Cubrir la empresa de extremoa extremo

• COBIT 5 no se enfoca únicamente en lasfunciones de TI, en realidad cubre todas

las funciones y procesos dentro de laorganización

• Considera todos los habilitadores de

gobernabilidad y gestión asociados a TI, através de toda la organización



COBIT 5, PRINCIPIOS

Principio 3 Aplicar un marco de referencia único integrado• COBIT 5 está alineado con otros estándares a un alto

nivel



COBIT 5, PRINCIPIOS

Principio 4

Hacer posible un enfoque holístico• Tanto la Gobernabil idad como la Gestión

de TI requieren de un enfoque holístico

• COBIT 5 define siete Catalizadores /

Habilitadores para hacer posible laimplementación de un sistema deGobernabilidad y Gestión de TI



COBIT 5, PRINCIPIO 4, CATALIZADORES

(HABILITADORES)



CATALIZADORES DE COBIT

PARA RESPONDER A REQUERIMIENTOS• Qué tengo que hacer?

• Cómo lo hago?

• Quiénes deben hacerlo?

• Dónde?

• Cuándo?

• E1 Principios, Políticas,Marcos de Referencia

• E2 Procesos de TI

• E3 Estructuras Organizativas

• E4 Cultura, Ética,Comportamiento

• E7 Personas, Habilidades yCompetencias

• E5 Información

• E6 Servicios, Infraestructura, Aplicaciones

• E1, E2, E3, E4, E5, E6, E7



COBIT 5, PRINCIPIOS

Principio 5

Separar el Gobierno de la Gestión• Las disciplinas de Gobernabilidad y

Gestión de TI involucran diferentes tiposde actividades y funciones, requieren

estructuras organizacionales diferentes ysirven para distintos propósitos.



DE QUÉ FORMA SE PUEDE EMPLEAR COBIT 5

PARA ASEGURAR LOS DATOS PERSONALES

• Las leyes de protección de datospersonales en los distintos países

representan un conjunto derequerimientos específicos

• COBIT 5 ayuda en las áreas donde se

necesita• Las necesidades de los stakeholders y los

objetivos de la organización sontraducidos en objetivos para el área de TI

y posteriormente son mapeados enprocesos de TI y procedimientos.



APLICACIÓN DE COBIT 5 PARA PDP




• Podemos ver a losPrincipios como larespuesta a lapregunta:Qué vamos a hacer

• Los Catalizadoresnos ayudan aresponder a la

pregunta:Cómo lo vamos ahacer

Ó




• COBIT 5 considera una diferenciación entreGobierno y Gestión de TI. Esta figura muestra unpanorama global y completo de esa distinción

Ó




Estracto del Mapeo de Necesidades de Stakeholders vsMetas de Empresa. Se señalan las que están involucradasdirectamente con la PDP

M E T A S D E E

M P R E S A

Ó




Estracto del Mapeo de Metas Corporativas

Se señalan las que están involucradas directamentecon la PDP





M e t a s C o

r p o r a t i v a s

Estracto del Mapeo de Metas de TI vs Metas CorporativasSe señalan las que están involucradas directamente con la PDP





Selección de las Metas relacionadas con TI que estáninvolucradas directamente con PDP









Estracto del Mapeo de Metas de TI vs Procesos de COBIT 5

Se señalan las que están involucradas directamente con la PDP 1

/

3






Se señalan las que están involucradas directamente con la PDP 2 /

3






Se señalan las que están involucradas directamente con la PDP 3 /

3

APLICANDO COBIT 5



APLICANDO COBIT 5

EN UN CASO REAL

• Ley Federal de Protección de Datos

Personales en Posesión deParticulares (LFPDPPP)

• Reglamento de la misma ley

– Legislación en México

CASO PRÁCTICO



CASO PRÁCTICO

• Siguiendo los pasos ya explicados, seestudia la ley en cuestión para identificar

puntualmente los requerimientos quedeben ser atendidos

• La siguiente es solamente una muestra delos requerimientos de LFPDPPP

• En la aplicación de COBIT 5, se debe hacerun mapeo completo

CASO PRÁCTICO



CASO PRÁCTICO

CASO PRÁCTICO



CASO PRÁCTICO

CASO PRÁCTICO



CASO PRÁCTICO

CASO PRÁCTICO



• Para una implementación efectivade COBIT 5 se requiere un equipo

multidisciplinario: – Una persona del área legal para la

interpretación de la Ley

– Una persona de cada una de las áreas que sehan identificado como stakeholders de datos

personales

– Responsable de los procesos clave del

negocio – Responsable de seguridad de la información

– Responsable de seguridad física

CASO PRÁCTICO



• Llevar a cabo una serie de entrevistas con todaslas áreas de la empresa para identificar los casosdonde se tratan datos personales

• Hacer un registro de las áreas que usan datospersonales sensibles, procesos, responsables,ciclo de vida de los datos

• Identificar los casos de procesamiento manual,automatizado y combinado

• Elaborar el análisis de brechas

• Elaborar el Plan de acciones necesarias





Fin de la

presentación

Gracias

Referencias



• Banisar, D. (2014, Enero 28). National Comprehensive Data Protection/Privacy Laws and

Bills 2014 Map. from Social Science Research Network:

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416

• Directrices de

la

OCDE

sobre

protección

de

la

privacidad

y flujos

transfronterizos

de

datos

personales

http://www.oecd.org/sti/ieconomy/15590267.pdf

• APEC, A.‐P. (2014). Member Economies. Asia‐Pacific Economic Cooperation:

http://www.apec.org/About‐Us/About‐APEC/Member‐Economies.aspx

• COBIT 5, COBIT 5 Enabling Processes, COBIT 5 Principles : Where Did They Come From?, COBIT 5 for Information Security. Securing Sensitive Personal Data or Information Under

India’s IT Act Using COBIT 5. COBIT 5 Implementation

http://www.isaca.org/cobit/pages/default.aspx

• World Economic Forum

http://www.weforum.org/reports/rethinking‐personal

‐data

‐new

‐lens

‐strengthening

‐trust

Contacto



[email protected]

Jorge Arturo Pérez Morales

http://mx.linkedin.com/in/japmmx

[email protected]

Cobit Caso Practico

Documents